Перейти к содержанию
Danilka

Еще один троянец-вымогатель - теперь в MBR

Автор Danilka, в Общий форум по информационной безопасности

Recommended Posts

demkd    562

demkd
Опубликовано

Ну вот теперь осталось дождаться перешивок биоса. Чтоб вымогал $$ сразу после POST-а :D Хотя можно и проще блокировать загрузку с диска.... кстати интересно как там дела у касперского с их запатентованным аппаратным антивирусом :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

ntoskrnl    155

ntoskrnl
Опубликовано
считает значение и сравнивает его с хэшем размером в 2 байта:

.......

К счастью, жесткий диск или файлы не шифруются

.......

Оригинальная главная загрузочная запись сохраняется в четвертом секторе жесткого диска вместе с маркером зловреда

Да это разве "Охренеть" :) Опять школьники балуются. :) Вот чего с Gpcode.ax делать?...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

sww    486

sww
Опубликовано
кстати интересно как там дела у касперского с их запатентованным аппаратным антивирусом :)

Для того, чтобы вылечить это аппаратный антивирус не нужен. Старый-добрый fixmbr.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

demkd    562

demkd
Опубликовано
Для того, чтобы вылечить это аппаратный антивирус не нужен. Старый-добрый fixmbr.

Это как бы в консоль еще попасть нужно, что... несколько затруднено в данном случае, я лично предпочитаю мелкософтовский bootsect.exe. А про аппаратный антивирус просто вспомнилось глядя на черный скриншот, даже не знаю почему :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

sww    486

sww
Опубликовано
Это как бы в консоль еще попасть нужно, что... несколько затруднено в данном случае, я лично предпочитаю мелкософтовский bootsect.exe. А про аппаратный антивирус просто вспомнилось глядя на черный скриншот, даже не знаю почему :)

Не вижу сложностей загрузиться с Windows Repair.

Как выяснилось данный локер не оставляет таблицу разделов (она сохранена лишь в копии MBR), поэтому fixmbr не поможет.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DiabloNova    175

DiabloNova
Опубликовано

Кидисы дорвались до мбр ха.

Ну вот теперь осталось дождаться перешивок биоса. Чтоб вымогал $$ сразу после POST-а

Долго же еще ждать с такими то буткитами и их установщиками. Бедная офикла.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Перейти к списку тем Общий форум по информационной безопасности

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      SQx То, что я выше написал сделать можно -  если есть доступ к PC. Однако не при работе со скриптом. Я  для Demkd  написал. В скрипт добавлять команды типа: adds criterion delref   fuckyoumm2_filter Checks the list by criterion т.е. добавлен критерий ( с выбором типа команды ) >  проверяется список > найденный по критерию объект удаляется.      
    • SQx
      uVS - Тестирование

      От SQx · Опубликовано

      Ранее с критериями не дружил, попробую в следующий раз, спасибо.
    • SQx
      uVS - Тестирование

      От SQx · Опубликовано

      Спасибо за информацию, но чтобы на верняка не испортить ОС пользователя, удалил спомощью FRST.
      В следующий раз попробую через uVS.
       
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Однако это не решение вопроса. ------------ Можно удалять объект ориентируясь не на имя, а на поисковый критерий. Оператор задаёт поисковый критерий > проверяет по нему список  > при необходимости корректирует критерий  > задаёт тип команды - на удаление > Команда ( автоматически ) пишется в скрипт.
    • Alushaa
      Здоровье

      От Alushaa · Опубликовано

      В плане улучшения своей работоспособности есть отличный сайт https://filzor.ru/news/preparaty_dlya_povysheniya_rabotosposobnosti/  Которым я пользуюсь с большим удовольствием и вам его настоятельно рекомендую изучить
×